Linux iptables建立网关的简单实例(支持NAT及FTP连接穿透)

[+]网络拓扑:

outside? —-? eth0+虚拟机A+eth1? —-? eth0+虚拟机B

*我的试验环境如上图所示,虚拟机A的eth0接口与宿主机的连接外网的网卡桥接,所以可以等价为虚拟机A的eth0接口与外网相连,虚拟机A的eth1接口和虚拟机B的eth0接口是使用virtualbox的内网相连。 其实,采用虚拟机组网仅仅是为了方便,针对本文介绍的全部内容,这些机器是否是虚拟机并没什么影响,完全可以将上图中的虚拟机看作实体主机,后面的操作完全与是否虚拟机无关。

*Outside网络中有一台DHCP服务器,以及DNS服务器,这些也不影响本文介绍的核心内容,后面涉及到这两个服务器时会再次说明。

[+]虚拟机A和B都运行Ubuntu8.04

[+]实现思路:虚拟机A配置iptables,使虚拟机A作为这个简单网络的一个安全网关,虚拟机B透过虚拟机A访问outside网络,对外部网络的服务器进行最基本的HTTP浏览和FTP上传下载。并且在一定程度上保护虚拟机B所在的网络不受outside网络的入侵。

配置步骤如下: Continue reading

思科NAT(PAT)转换的一些关键概念解析和实例

一般人的头脑中或多或少对NAT都有所了解,但是往往只了解一些表面化的地址转换思路,但是具体到一些NAT转换的细节和具体场景,例如NAT Control、NAT 豁免、等价NAT,内部、外部转换场景,以及各种NAT的区别、特点等等,可能就会发现思路并不那么顺畅,所以,adreaman特意整理了这篇NAT关键概念的解析文档,以思科ASA防火墙的NAT配置为实例,梳理一下相关概念和应用场景。

NAT(网络地址转换)是使用预定义的映射地址替换IP报文中的真实地址,达到修改或隐藏某些网络应用的地址的目的的一种方案。 Continue reading

配置思科防火墙介绍内部NAT与外部NAT

网络拓扑如下图:防火墙左侧为inside网络,网段10.100.1.x/24,其中有一台主机IP为10.100.1.2;右侧为outside网络,网段为209.165.202.x/28,有一台主机IP为209.165.202.129。

NAT转换实例图

NAT转换实例图

?
1、下面的命令为一个动态内部NAT转换:

global (outside) 5 209.165.202.140-209.165.202.141 netmask 255.255.255.224
nat (inside) 5 10.100.1.0 255.255.255.0

当inside网络中10.100.1.0/24网段的主机向outside网络的主机发送IP报文时,源IP地址由10.100.1.0/24网段的IP变为209.165.202.140-209.165.202.141范围的某个IP,并为这次转换建立转换表。 Continue reading